电信网中基于无证书聚合签密方案的设计*
2016-11-07田纪军
田纪军
(中国移动通信集团湖北有限公司 武汉 430048)
电信网中基于无证书聚合签密方案的设计*
田纪军
(中国移动通信集团湖北有限公司武汉430048)
电信网是一个复杂的多域环境,它为电信企业的信息交换与业务协作带来便捷的同时,也带来了潜在的安全隐患。由于电信网络系统的不断增加,导致在电信网中存在用户数目众多、来源广泛,为基础电信企业的信息传递的机密性和认证性带来了巨大的困难。为此,论文提出了一个无证书聚合签密方案。在随机预言模型下,基于BDH和CDH困难问题假定,证明论文方案满足机密性和不可伪造性。与已有的相关无证书聚合签密方案对比,论文方案在聚合验证时,计算效率较高且与签名者个数无关。安全与性能分析表明,该方案是安全高效的,适合在电信网中运用。
电信网; 无证书签密; 聚合签密; 随机预言模型; BDH; CDH
Class NumberTP393.08
1 引言
随着电信网络规模日益增大,网络系统不断增加,电信企业间的信息交换与业务协作程度也越来越频繁,带来便捷的同时,也带来了潜在的安全隐患[1]。尤其是基础电信企业的信息传递,不仅在电信网外部存在大量的黑客攻击,同时在电信网内部也存在内部恶意人员利用其掌握的系统操作权限破坏电信系统或者谋取不正当收益的行为,因此,十分有必要加强信息传递的机密性和认证性。
在2003年,AI-Riyami和Paterson[2]提出了无证书公钥密码体制(Certificateless Public Key Cryptography,CL-PKC)。由于无证书公钥密码体制成功解决了传统公钥密码体制的证书管理和维护问题,也避免了基于身份的密码体制的密钥托管问题。因此,无证书公钥密码体制自诞生起,就受到工业界和学术界的广泛关注,并取得了大量的优秀成果,如:无证书签名方案[3~9];无证书签密方案[10~11];无证书密钥协商方案[7,12~13]以及无证书加密方案[14~16]。
由于签密可以同时完成签名和加密的步骤,能够确保消息的机密性和认证性,其效果好于传统的“先签名后加密”的方法。因此,自1997年,Zheng[17]第一次提出了签密的概念,并给出了一个签密方案。在2002年,Baek等[18]第一次给出了签密方案的安全模型,并对Zheng[17]的方案进行了严格的安全证明。在2008年,Barbosa等[19]第一次提出了无证书签密的概念,并给出了一个无证书签密(Certificateless Signcryption,CLSC)方案。随后,学术界提出了大量的无证书签密方案[10,20~22]。
在2003年,Boneh等[23]首次提出了聚合签名的概念,其基本思想是:n个不同签名者分别对n个不同的消息Mi进行签名,得到n个不同的签名σi,签名验证者可以通过将n个不同的签名σi压缩成一个签名σ来进行签名验证。如果签名σ通过了验证等式,则表示n个不同的签名σi有效;否则,则表示n个不同的签名σi无效。可以看见,通过聚合签名技术,可以大大减少签名验证者的计算工作量,同时也减少了签名的存储空间和通信开销,从而提高了签名验证和网络传输的效率。
在2011年,Lu等[24]结合无证书签名和聚合签名的优点,首次提出了无证书聚合签密(Certificateless Aggregate Signcryption,CLASC)方案。随后,在2013年,Jiang等[25]和张雪枫[26]等分别提出了一个无证书聚合签密方案;在2014年,Eslami等[27]也提出了一个无证书聚合签密方案。但是,分析表明上述四个方案[24~27]的聚合验证效率较低。
为了进一步提高无证书聚合签密方案的验证效率,且Eslami等[27]方案需要使用同步信息,本文在Eslami等[27]的方案基础上进行改进,为此移除了同步信息的限制,从而提出一种新的无证书聚合签密方案。与Eslami等[27]方案相比,本文的签密方案不再需要同步信息,且方案在聚合验证时,计算效率较高且与签名者个数无关。另外,本文的签密方案是在随机预言模型下,基于BDH和CDH困难问题假定,证明本文方案满足机密性和不可伪造性。
2 基础知识
2.1双线性对
令G1和G2分别是q阶素数的加法循环群和乘法循环群,且P是群G1的生成元。如果e满足如下三个性质,则称映射e:G1×G1→G2是一个双线性对:
2.2双线性Diffie-Hellman(BDH)问题
2.3计算性Diffie-Hellman问题
3 无证书聚合签密方案的形式化定
义和安全模型
3.1无证书聚合签密方案的形式化定义
定义1一个无证书聚合签密方案包括一个密钥生成中心(Key Generation Center,KGC)、n个不同的签名者ID1,ID2,…,IDn、一个签密聚合者、一个聚合签密验证者,以及签密接收者IDR。整个方案是由以下七个算法:系统参数设置算法、部分私钥生成算法、签名者密钥生成算法、签密生成算法、聚合签密生成算法、聚合签密验证算法以及聚合解签密算法来共同组成,其具体算法描述如下:
· 系统参数设置算法:该算法由KGC执行。KGC输入系统安全参数k,输出系统主密钥s和系统公开参数params。
· 部分私钥生成算法:该算法由KGC执行。KGC输入签密者的身份IDi、系统公开参数params和系统主密钥s,输出签名者的部分私钥pskIDi。
· 签名者密钥生成算法:该算法由签密者IDi执行。签密者IDi输入系统公开参数params,输出签密者IDi的公钥pkIDi和私钥skIDi。
· 签密生成算法:该算法由签密者IDi执行。签密者IDi输入系统公开参数params、私钥skIDi、消息Mi,以及签密接收者IDR的身份IDR和公钥pkIDR,输出签密者IDi对消息Mi的签密密文ci。
· 聚合签密生成算法:该算法由聚合签密者执行。聚合签密者输入n个不同签名者IDi对n个不同消息Mi的签密密文ci,输出聚合密文c。
· 聚合签密验证算法:该算法由聚合签密验证者执行。聚合签密验证者输入n个不同签名者IDi的身份IDi以及对应的公钥pki,签密接收者IDR的身份IDR以及对应的公钥pkR,验证聚合密文c的正确性。如果聚合密文c通过了聚合签密验证等式,则输出true;否则,输出flash。
· 聚合解签密算法:该算法由签密接收者IDR执行。签密接收者IDR输入n个不同签名者IDi的身份IDi以及对应的公钥pki,签密接收者IDR的身份IDR以及对应的私钥pkR,以及聚合密文c,输出n个不同消息Mi。
3.2无证书聚合签密方案的安全模型
由于本文方案是在Eslami等[27]方案基础上,去除了同步信息的限制,来进行改进的。所以,本文方案也是利用游戏 1和游戏 2来刻画无证书聚合签密方案的安全模型。
本文方案定义了两类敌手AI和AII。第一类敌手AI是一个外部实体,它不知道系统的主密钥s,但是可以进行公钥替换。第二类敌手AII是一个内部实体,它知道系统的主密钥s,但是不可以进行公钥替换。
由于篇幅限制,可以具体参考Eslami等人[27]定义的游戏 1和游戏 2。
定义2如果不存在多项式时间t内,两类敌手AI和AII能以不可忽略的概率优势赢得游戏 1和游戏 2,则称该无证书聚合签密方案在适应性选择密文攻击下具有密文不可区分性。
定义3如果不存在多项式时间t内,两类敌手AI和AII能以不可忽略的概率优势赢得游戏 1和游戏 2,则称该无证书聚合签密方案在适应性选择消息攻击下是存在性不可伪造的。
4 无证书聚合签密方案
4.1方案描述
定义4一个无证书聚合签密方案包括一个密钥生成中心(Key Generation Center,简称KGC)、n个不同的签名者ID1,ID2,…,IDn、一个签密聚合者、一个聚合签密验证者,以及签密接收者IDR。整个方案是由以下7个算法:系统参数设置算法、部分私钥生成算法、签名者密钥生成算法、签密生成算法、聚合签密生成算法、聚合签密验证算法以及聚合解签密算法来共同组成,其具体算法描述如下:
系统参数设置算法:该算法由KGC执行。给定系统安全参数k,KGC执行以下步骤:
1) KGC定义阶为素数q的加法循环群G1和乘法循环群G2,p是群G1的生成元,e:G1×G1→G2是一个可计算的双线性映射。
2) KGC选择三个哈希函数:H1:{0,1}*→G1,H2:{0,1}*→{0,1}lm,H3:{0,1}*→G1,H4:{0,1}*→G1。其中:lm表示消息Mi的比特长度。
部分私钥生成算法:该算法由KGC执行。KGC计算Qi=H1(IDi),pskIDi=s·Qi;并通过秘密安全信道传递给签密者IDi。
签密生成算法:该算法由签密者IDi执行。签密者IDi执行以下步骤:
2) 签密者IDi计算Hi=H2(IDR,pkR,Ri)∈{0,1}lm,δi=Hi⊕Mi。
3) 签密者IDi计算Wi=H3(Mi,IDi,pkIDi,Ri,IDR,pkR)∈G1,
Ti=H4(Mi,IDi,pkIDi,Ri,IDR,pkR)∈G1,
Si=pskIDi+skIDi·Wi+ri·Ti。
4) 签密者IDi输出签密密文ci=(Ri,δi,Si)。
聚合签密验证算法:该算法由聚合签密验证者执行。聚合签密验证者输入n个不同签名者IDi的身份IDi以及对应的公钥pki,签密接收者IDR的身份IDR以及对应的公钥pkR,验证聚合密文c的正确性。其具体的步骤如下:
1) 聚合签密验证者计算Wi=H3(Mi,IDi,pkIDi,Ri,IDR,pkR)∈G1,Ti=H4(Mi,IDi,pkIDi,Ri,IDR,pkR)∈G1。
2) 聚合签密验证者验证等式是否成立:
(1)
如果聚合密文c通过了聚合签密验证等式,则输出true;否则,输出flase。
聚合解签密算法:该算法由签密接收者IDR执行。签密接收者IDR输入n个不同签名者IDi的身份IDi以及对应的公钥pki,签密接收者IDR的身份IDR以及对应的私钥pkR,以及聚合密文c。其具体的步骤如下:
1) 签密接收者IDR计算Hi=H2(IDR,pkR,Ri)∈{0,1}lm。
2) 签密接收者IDR计算Mi=Hi⊕δi。
4.2方案的正确性
定理1本文无证书聚合签密方案是正确的。
证明:本文无证书聚合签密方案是正确的。当且仅当,所用的参数是按照本文所给出的算法正确计算出。其验证聚合签密密文c的正确性如下:
(2)
4.3方案的安全性分析
由于本文方案是在Eslami等[27]方案基础上,去除了同步信息的限制,来进行改进的,其安全模型也同于Eslami等[27]方案的安全模型,所以限于篇幅问题,故此省略。本文的安全性满足:机密性、不可伪造性以及公开验证性。
4.4方案比较
对比方案[24~27],由于本文方案去除了同步信息的限制,故其效率较高。
5 结语
本文方案是在是在Eslami等[27]方案基础上,去除了同步信息的限制,来进行改进的,其安全性满足机密性、不可伪造性以及公开验证性。本文方案实现了签密信息的聚合传输和批验证的功能,并在在随机预言模型下,基于BDH和CDH困难问题假定,证明本文方案满足机密性和不可伪造性。与已有的相关无证书聚合签密方案对比,本文方案在聚合验证时,计算效率较高且与签名者个数无关。安全与性能分析表明,该方案是安全高效的,适合在电信网中运用。
[1] 王保义,王蓝婧.电力信息系统中基于属性的访问控制模型的设计[J].电力系统自动化,2007,31(7):81-84.
WANG Baoyi, WANG Lanjing. Design of Attribute based Access Control Model for Power Information Systems[J]. Automation of Electric Power Systems,2007,31(7):81-84.
[2] AL-RIYAMI S S,PATERSON K G. Certificateless public key cryptography[C]// Certificateless public key cryptography. Advances in Cryptology-ASIACRYPT 2003. Springer Berlin Heidelberg:452-473.
[3] TSO R, YI X, HUANG X. Efficient and short certificateless signatures secure against realistic adversaries[J]. The Journal of Supercomputing,2011,55(2):173-191.
[4] CHOI K Y, PARK J H, LEE D H. A new provably secure certificateless short signature scheme[J]. Computers & Mathematics with Applications,2011,61(7):1760-1768.
[5] HE D, CHEN J, ZHANG R. An efficient and provably-secure certificateless signature scheme without bilinear pairings[J]. International Journal of Communication Systems,2012,25(11):1432-1442.
[6] YU Y T, MU Y, WANG G, et al. Improved certificateless signature scheme provably secure in the standard model[J]. Iet Information Security,2012,6(2):102-110.
[7] HE D, CHEN J, HU J. A pairing-free certificateless authenticated key agreement protocol[J]. International Journal of Communication Systems,2012,25(2):221-230.
[8] HE D, CHEN Y, CHEN J. An efficient certificateless proxy signature scheme without pairing[J]. Mathematical and Computer Modelling,2013,57(9-10):2510-2518.
[9] HE D, HUANG B, CHEN J. New certificateless short signature scheme[J]. Iet Information Security,2013,7(2):113-117.
[10] ZHOU C, ZHOU W, DONG X. Provable certificateless generalized signcryption scheme[J]. Designs, codes and cryptography,2014,1(2):331-346.
[11] LIU W-H, XU C-X. Certificateless signcryption scheme without bilinear pairing[J]. Ruanjian Xuebao/Journal of Software,2011,22(8):1918-1926.
[12] HE D, CHEN Y, CHEN J, et al. A new two-round certificateless authenticated key agreement protocol without bilinear pairings[J]. Mathematical and Computer Modelling,2011,54(11):3143-3152.
[13] HE D, PADHYE S, CHEN J. An efficient certificateless two-party authenticated key agreement protocol[J]. Computers & Mathematics with Applications,2012,64(6):1914-1926.
[14] BAEK J, SAFAVI-NAINI R, SUSILO W. Certificateless public key encryption without pairing[C]//Certificateless public key encryption without pairing. 8th Information Security Conference,ISC2005. Springer Berlin Heidelberg:134-148.
[15] SUN Y,ZHANG F,BAEK J. Strongly secure certificateless public key encryption without pairing[M]. Cryptology and Network Security. City: Springer Berlin Heidelberg,2007:194-208.
[16] LAI J, KOU W, CHEN K. Self-generated-certificate public key encryption without pairing and its application[J]. Information Sciences,2011,181(11):2422-2435.
[17] ZHENG Y. Digital signcryption or how to achieve cost (signature & encryption) cost (signature)+ cost (encryption)[C]//Digital signcryption or how to achieve cost (signature & encryption) cost (signature)+ cost (encryption). Advances in Cryptology—CRYPTO’97. Springer Berlin Heidelberg:165-179.
[18] BAEK J, STEINFELD R, ZHENG Y. Formal proofs for the security of signcryption[C]//Formal proofs for the security of signcryption. Public Key Cryptography 2002. Springer Berlin Heidelberg:80-98.
[19] BARBOSA M,FARSHIM P. Certificateless signcryption[C]//Certificateless signcryption. Proceedings of the 2008 ACM symposium on Information, computer and communications security. 369-372.
[20] WENG J, YAO G, DENG R H, et al. Cryptanalysis of a certificateless signcryption scheme in the standard model[J]. Information Sciences,2011,181(3):661-667.
[21] SHI W, KUMAR N, GONG P, et al. Cryptanalysis and improvement of a certificateless signcryption scheme without bilinear pairing[J]. Frontiers of Computer Science,2014,8(4):656-666.
[22] 张玉磊,王欢,李臣意,等.可证安全的紧致无证书聚合签密方案[J]. 电子与信息学报,2015,37(12):2838-2844.
ZHANG Yulei, WANG Huan, Li Chenyi, et al. Provable Secure and Compact Certificateless Aggregate Signcryption Scheme[J]. Journal of Electronics & Information Technology,2015,37(12):2838-2844.
[23] BONEH D, GENTRY C, LYNN B, et al. Aggregate and verifiably encrypted signatures from bilinear maps[C]//Aggregate and verifiably encrypted signatures from bilinear maps. Advances in cryptology—EUROCRYPT 2003. Springer Berlin Heidelberg,3027:416-432.
[24] LU H, XIE Q. An efficient certificateless aggregate signcryption scheme from pairings[C]//An efficient certificateless aggregate signcryption scheme from pairings. 2011 International Conference on Electronics, Communications and Control (ICECC),2011:132-135.
[25] JIANG Y, LI J, XIONG A. Certificateless Aggregate Signcryption Scheme for Wireless Sensor Network[J]. International Journal of Advancements in Computing Technology,2013,5(8):456-463.[26] 张雪枫,魏立线,王绪安.无证书的可公开验证聚合签密方案[J].计算机应用,2013,33(7):1858-1860.
ZHANG Xufeng, WEI Lixian, WANG Xu’an. Certificateless aggregate signcryption scheme with public verifiability[J]. Journal of Computer Applications,2013,33(7):1858-1860.
[27] ESLAMI Z, PAKNIAT N. Certificateless aggregate signcryption: Security model and a concrete construction secure in the random oracle model[J]. Journal of King Saud University — Computer and Information Sciences,2014,26(3):276-286.
Design of Certificateless Aggregate Signcryption Scheme for Power Information Networks
TIAN Jijun
(China Mobile Group Hubei Company Limited, Wuhan430048)
The power information networks constitutes a complex multi-domain environment. While providing convenient information exchange and coordination to the power industry,it also brings some potential security problems. Due to the increasing of power information network system,there are a large users which brings great difficulties to the confidentiality and authentication of the information transmission. To this end,this paper proposes a certificateless aggregate signcryption scheme. In the random oracle model,based on the bilinear Diffie-Hellman (BDH) and computational Diffie-Hellman (CDH) hard assumption,this scheme is proved that it meets the properties of confidentiality and unforgeability. Compared with the existing certificateless aggregate signcryption schemes,this scheme raise the efficiency of verification,and is not depending on the number of signcryption users. The results of analysis indicate that this scheme is secure,efficient and suitable for use in the power information networks.
power information networks, certificateless signcryption, aggregate signcryption, random oracle model, BDH, CDH
2016年4月17日,
2016年5月26日
山东省自然科学基金(编号:ZR2014FL012);山东省网络环境智能计算技术重点实验室开放基金资助。
田纪军,男,工程师,研究方向:企业信息安全管理与技术应用。
TP393.08
10.3969/j.issn.1672-9722.2016.10.024
